Atores de ameaças foram observados aproveitando um plug-in WordPress legítimo, mas desatualizado, para sites clandestinos como parte de uma campanha em andamento, Sucuri revelou em um relatório publicado na semana passada.
O plugin em questão é o Eval PHP, lançado por um desenvolvedor chamado flashpixx. Ele permite que os usuários insiram páginas de código PHP e postagens de sites WordPress que são executadas toda vez que as postagens são abertas em um navegador da web.
Embora o Eval PHP nunca tenha recebido uma atualização em 11 anos, as estatísticas coletadas pelo WordPress mostram que ele está instalado em mais de 8.000 sites, com o número de downloads disparando de um ou dois em média desde setembro de 2022 para 6.988 em 30 de março de 2023.
Somente em 23 de abril de 2023, ele foi baixado 2.140 vezes. O plugin acumulou 23.110 downloads nos últimos sete dias.
A Sucuri, de propriedade da GoDaddy, disse que observou alguns bancos de dados de sites infectados injetados com código malicioso na tabela “wp_posts”, que armazena as postagens, páginas e informações do menu de navegação de um site. As solicitações se originam desses três endereços IP baseados na Rússia.
“Este código é bastante simples: ele usa a função file_put_contents para criar um script PHP no docroot do site com o backdoor de execução de código remoto especificado”, disse o pesquisador de segurança Ben Martin.
“Embora a injeção em questão coloque um backdoor convencional na estrutura do arquivo, a combinação de um plug-in legítimo e um dropper de backdoor em uma postagem do WordPress permite que eles reinfectem facilmente o site e permaneçam ocultos. Tudo o que o invasor precisa fazer é visitar uma das postagens ou páginas infectadas e o backdoor será injetado na estrutura do arquivo.”
A Sucuri disse que detectou mais de 6.000 instâncias desse backdoor apenas nos últimos 6 meses, descrevendo o padrão de inserção do malware diretamente no banco de dados como um “desenvolvimento novo e interessante”.
A cadeia de ataque envolve a instalação do plug-in Eval PHP em sites comprometidos e seu uso indevido para estabelecer backdoors persistentes em várias postagens que às vezes também são salvas como rascunhos.
“A maneira como o plug-in Eval PHP funciona é o suficiente para salvar uma página como um rascunho para executar o código PHP dentro dos códigos curtos [evalphp]”, explicou Martin, acrescentando que as páginas não autorizadas são criadas com um administrador de site real como autor, sugerindo que os invasores conseguiram entrar com sucesso como um usuário privilegiado.
O desenvolvimento mais uma vez aponta como os agentes mal-intencionados estão experimentando diferentes métodos para manter sua posição em ambientes comprometidos e evitar varreduras do lado do servidor e monitoramento de integridade de arquivos.
Proprietários de sites são aconselhados a proteger o painel WP Admin bem como estar atentos a quaisquer logins suspeitos para impedir que agentes de ameaças obtenham acesso de administrador e instalem o plug-in.
Fonte: TheHackersNews, Ravie Lakshmanan